CTF競(jìng)賽模式的高職信息安全實(shí)踐教學(xué)體系

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了CTF競(jìng)賽模式的高職信息安全實(shí)踐教學(xué)體系范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：高職院校突出學(xué)生實(shí)踐、動(dòng)手能力的培養(yǎng)，傳統(tǒng)的教學(xué)方式較難滿足信息安全專業(yè)學(xué)生的學(xué)習(xí)要求。本文從信息安全專業(yè)在實(shí)踐教學(xué)中存在的問(wèn)題入手，提出基于“ctf競(jìng)賽”模式的教學(xué)體系，對(duì)信息安全專業(yè)建設(shè)具有較好的參考價(jià)值。

關(guān)鍵詞：信息安全;實(shí)踐課程;CTF;課程群

2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，指出，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化；建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)，要有自己的技術(shù)，有過(guò)硬的技術(shù)；要有高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊(duì)伍。從總體上看，我國(guó)網(wǎng)絡(luò)安全人才還存在數(shù)量缺口較大、能力素質(zhì)不高、結(jié)構(gòu)不盡合理等問(wèn)題，與維護(hù)國(guó)家網(wǎng)絡(luò)安全、建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的要求不相適應(yīng)。我國(guó)信息安全學(xué)科建設(shè)剛剛起步，高校作為人才培養(yǎng)的主要基地，近年來(lái)在信息安全人才培養(yǎng)方面不斷加大投入力度，完善信息安全知識(shí)結(jié)構(gòu)，改進(jìn)課程體系框架，提升教學(xué)質(zhì)量，培養(yǎng)更為全面、優(yōu)秀的信息安全技術(shù)人才。

1高職院校信息安全專業(yè)實(shí)踐類課程教學(xué)體系存在的問(wèn)題

高職院校的教育目標(biāo)在于培養(yǎng)實(shí)用型、應(yīng)用型高技能專門人才。在教育過(guò)程中，實(shí)踐類課程尤為重要。但目前，高職院校信息安全專業(yè)實(shí)踐類課程教學(xué)體系普遍存在以下問(wèn)題。

1.1課程實(shí)用性差

部分高職院校在擬定專業(yè)人才培養(yǎng)方案時(shí)，雖然在課程設(shè)置上將某門課程定義為實(shí)踐課，但在教學(xué)過(guò)程中仍側(cè)重理論教學(xué)，實(shí)踐內(nèi)容欠缺，實(shí)踐時(shí)間不足，學(xué)生無(wú)法將理論知識(shí)轉(zhuǎn)化為實(shí)用技能，影響對(duì)課程內(nèi)容的掌握，喪失學(xué)習(xí)的積極性。

1.2師資力量薄弱

信息安全屬于新興學(xué)科，大部分專業(yè)教師都是從計(jì)算機(jī)應(yīng)用、網(wǎng)絡(luò)工程、軟件工程等專業(yè)轉(zhuǎn)型而來(lái)，真正信息安全專業(yè)教師數(shù)量少，并且相應(yīng)的專業(yè)教師培訓(xùn)內(nèi)容和規(guī)模不足，制約著師資隊(duì)伍的建設(shè)。

1.3教學(xué)基礎(chǔ)設(shè)施滯后

實(shí)訓(xùn)室是實(shí)踐類課程在校期間完成實(shí)踐教學(xué)的重要場(chǎng)所，但很多高校信息安全實(shí)訓(xùn)室網(wǎng)絡(luò)環(huán)境單一，主要由交換機(jī)、路由器、防火墻等部分網(wǎng)絡(luò)安全設(shè)備組成，設(shè)備種類有限、設(shè)備型號(hào)陳舊并缺少各種信息安全軟件實(shí)踐平臺(tái)，可完成的實(shí)訓(xùn)內(nèi)容僅包含安全設(shè)備的部署、調(diào)試等，具有很大的局限性。

1.4教學(xué)內(nèi)容陳舊

信息安全技術(shù)發(fā)展迅速，對(duì)高校信息安全專業(yè)知識(shí)體系提出了更高的要求。很多高校不能及時(shí)更新知識(shí)技術(shù)，甚至不能把握當(dāng)前社會(huì)的主流應(yīng)用，比如仍然在使用WindowsServer2003和SQLServer2000等漏洞來(lái)進(jìn)行教學(xué)等。教學(xué)內(nèi)容、案例的陳舊，嚴(yán)重束縛了學(xué)生實(shí)踐能力的提高。

1.5考核方式落后

各實(shí)踐課程考核方式單一，或?yàn)榧兇夤P試、或?yàn)楣P試加上機(jī)實(shí)踐操作考試，上機(jī)考試時(shí)間短并且考試內(nèi)容固定等，無(wú)法突出實(shí)踐的特色，缺乏合理、有效、全面的考核方法，不能達(dá)到檢驗(yàn)學(xué)生對(duì)知識(shí)技術(shù)掌握程度的目的。

2基于“CTF競(jìng)賽”模式的實(shí)踐教學(xué)體系構(gòu)建

2.1“CTF競(jìng)賽”模式

CTF（CaptureTheFlag）中文一般譯作奪旗賽，在信息安全領(lǐng)域中指的是信息安全技術(shù)人員之間進(jìn)行技術(shù)競(jìng)技的一種比賽形式。其大致流程是從給出的比賽環(huán)境中找到一串具有一定格式的字符串或其他內(nèi)容（Flag），并將其提交，從而奪得分?jǐn)?shù)。CTF競(jìng)賽模式具體分為以下三類：解題模式（Jeopardy）。參賽隊(duì)伍在線參與，解決給定的網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目，通過(guò)答題分?jǐn)?shù)和解題時(shí)間來(lái)排名。攻防模式（Attack-Defense）。參賽隊(duì)伍互相進(jìn)行攻擊和防守，挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對(duì)手服務(wù)來(lái)得分，修補(bǔ)自身服務(wù)漏洞進(jìn)行防御來(lái)避免丟分。混合模式（Mix）。結(jié)合了解題模式與攻防模式的特點(diǎn)，參賽隊(duì)伍通過(guò)解題階段獲取一些初始分?jǐn)?shù)，然后通過(guò)攻防對(duì)抗進(jìn)行得分增減的零和博弈，最終以得分高低分出勝負(fù)。

2.2構(gòu)建實(shí)踐課程體系

CTF競(jìng)賽內(nèi)容主要包含密碼分析類、Web安全類、逆向破解類、安全編程類及漏洞發(fā)掘利用類等。所以信息安全專業(yè)課程建設(shè)必須緊扣以上要點(diǎn)，并且可以把內(nèi)容耦合緊密、存在內(nèi)在關(guān)聯(lián)、屬于同一教學(xué)目標(biāo)的一類課程作為一個(gè)課程組或?qū)I(yè)方向進(jìn)行建設(shè)，以此打破課程之間的壁壘，從專業(yè)培養(yǎng)目標(biāo)的層次上對(duì)課程內(nèi)容進(jìn)行分配。具體可將信息安全專業(yè)分為網(wǎng)絡(luò)安全課程群、Web安全課程群、信息安全課程群、軟件安全課程群及服務(wù)器安全課程群等，每個(gè)課程群下包含幾門專業(yè)課程，其中某些基礎(chǔ)課程可能在多個(gè)課程群中交叉出現(xiàn)。網(wǎng)絡(luò)安全課程群主要培養(yǎng)學(xué)生網(wǎng)絡(luò)組建、網(wǎng)絡(luò)安全設(shè)備部署與調(diào)試、網(wǎng)絡(luò)攻防的能力；Web安全課程群對(duì)學(xué)生Web應(yīng)用程序開(kāi)發(fā)、Web滲透能力的培養(yǎng)；信息安全課程群對(duì)信息加解密等信息隱藏技術(shù)的培養(yǎng)；軟件安全課程群主要對(duì)學(xué)生安全編程技術(shù)及程序逆向能力的培養(yǎng)；服務(wù)器安全課程群的培養(yǎng)目標(biāo)在于Windows及Linux服務(wù)器操作系統(tǒng)的安全運(yùn)維。

2.3改進(jìn)實(shí)踐教學(xué)模式

實(shí)踐教學(xué)綜合平臺(tái)在教學(xué)過(guò)程中起到非常重要的作用，大量課程知識(shí)點(diǎn)可在平臺(tái)上進(jìn)行學(xué)習(xí)、實(shí)踐。利用平臺(tái)，將“CTF競(jìng)賽”教學(xué)模式引入教學(xué)中來(lái)，為每一類專業(yè)課程組設(shè)置眾多專業(yè)知識(shí)點(diǎn)及測(cè)試內(nèi)容，最終形成完整的知識(shí)體系。在教師講授完相關(guān)知識(shí)后，學(xué)生通過(guò)答題、闖關(guān)等方式，自我發(fā)現(xiàn)問(wèn)題、自發(fā)學(xué)習(xí)并最終解決問(wèn)題。解決某問(wèn)題后，獲得相應(yīng)分?jǐn)?shù)，并以此來(lái)計(jì)算該門課程的最后考核成績(jī)。學(xué)生在賽中學(xué)、學(xué)中賽，不斷激發(fā)學(xué)生的學(xué)習(xí)興趣，達(dá)到提升教學(xué)效果的目的。

2.4設(shè)計(jì)實(shí)踐教學(xué)平臺(tái)

平臺(tái)設(shè)計(jì)參照CTF競(jìng)賽平臺(tái)結(jié)構(gòu)，分為信息安全解題平臺(tái)網(wǎng)站和網(wǎng)絡(luò)攻防靶機(jī)服務(wù)器兩部分。其中信息安全解題平臺(tái)網(wǎng)站搭建于真實(shí)服務(wù)器上，學(xué)生或小組注冊(cè)登錄平臺(tái)后，瀏覽注意事項(xiàng)，答題并提交writeup，最后平臺(tái)返回得分情況。不同題目設(shè)置不同分值，系統(tǒng)記錄學(xué)生或小組得分情況并分析，得出該學(xué)生或小組對(duì)信息知識(shí)掌握情況。靶機(jī)服務(wù)器運(yùn)行于VMWarevsphereESXi虛擬機(jī)下，可快速組建虛擬局域網(wǎng)并保證靶機(jī)的穩(wěn)定性。靶機(jī)服務(wù)器分為系統(tǒng)漏洞類靶機(jī)、系統(tǒng)網(wǎng)絡(luò)服務(wù)漏洞類靶機(jī)、網(wǎng)站漏洞類靶機(jī)及綜合類靶機(jī)四種，以實(shí)現(xiàn)對(duì)上述漏洞知識(shí)的考查。同時(shí)靶機(jī)區(qū)分難易程度，分值高低，學(xué)生可由易到難一步步開(kāi)展信息安全內(nèi)容的學(xué)習(xí)。

3結(jié)語(yǔ)

采用“CTF競(jìng)賽”模式的信息安全專業(yè)實(shí)踐課程體系，能夠極大的激發(fā)學(xué)生學(xué)習(xí)興趣及創(chuàng)新熱情，提供學(xué)生學(xué)習(xí)效率，提高高職院校人才培養(yǎng)質(zhì)量。但在具體實(shí)施中仍存在不少問(wèn)題，如綜合實(shí)訓(xùn)平臺(tái)的穩(wěn)定性及開(kāi)發(fā)問(wèn)題、平臺(tái)實(shí)踐內(nèi)容分類、設(shè)計(jì)等完善的問(wèn)題、課程內(nèi)容更新的問(wèn)題等，以上問(wèn)題有待進(jìn)一步研究和實(shí)踐。只有不斷思考探索，才能緊跟社會(huì)，才能達(dá)到與社會(huì)人才需求相一致的目的。

參考文獻(xiàn)：

[1]百度百科.CTF(奪旗賽)[EB/OL].

[2]魏為民,楊爍.結(jié)合CTF競(jìng)賽模式的信息安全課堂教學(xué)[J].計(jì)算機(jī)教育,2017,(6).

[3]閔祥參,范九倫.信息安全專業(yè)課程體系設(shè)置的幾點(diǎn)思考[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào),2016,(7).

作者:王榕 單位:江西外語(yǔ)外貿(mào)職業(yè)學(xué)院